Ende 2022 prognostizierte Gartner, dass die weltweiten Ausgaben für öffentliche Clouds im Jahr 2023 um 20 % steigen würden. Ein solcher Anstieg wirft Fragen auf, denn immer mehr Stimmen ziehen die Philosophie des „Alles nur in der Cloud“ öffentlich in Zweifel. Nicht zu Unrecht: Die Themen Data Governance, Compliance und ganz allgemein die Datensicherheit führen angesichts wachsender Cyberrisiken immer noch zu großer Verunsicherung. Welche Risiken bestehen zwischen Wunschdenken und Realität?
Ende 2022 gaben 54 % der Befragten in einer Studie von 451 Research sogar an, ihre Daten im abgelaufenen Jahr aus der öffentlichen Cloud entfernt zu haben. Aber sind diese Risiken begründet? Sollten Unternehmen eine Rückkehr zum traditionellen On-Premise-Modell in Erwägung ziehen? Oder könnte ein effektiverer Schutz für die Cloud der Schlüssel sein? Erklärungen und Antworten.
Die Risiken der Cloud
Ob Infrastruktur, Software oder auch Plattform: Die As-a-Service-Welt ist für viele Unternehmen und Institutionen unentbehrlich geworden. Ihre Vorteile sind unbestreitbar und umfassen beispielsweise Flexibilität, Skalierbarkeit, eine hohe Verfügbarkeit, die Zugänglichkeit von Daten oder eine verbrauchsabhängige Bezahlung. Aber wenn von der Cloud die Rede ist, werden die Begriffe der öffentlichen und privaten Cloud, aber auch SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) und PaaS (Platform-as-a-Service) häufig vermischt. So viele verschiedene Clouds der Wirtschaft zur Verfügung stehen, so vielseitig sind auch die Risiken.
Doch trotz ihrer Unverzichtbarkeit werden die Bedenken rund um die Datensicherheit in der Cloud größer. Ein gewisses Gefühl des Kontrollverlusts verbindet die Cloud mit der Verletzlichkeit von Daten. Einerseits gibt es seit der Verabschiedung des amerikanischen Cloud Act im Jahr 2018 einige Bedenken hinsichtlich der Vertraulichkeit von Daten, die auf US-amerikanische Plattformen gespeichert werden. Auf der anderen Seite entfaltet die Gefahr menschlichen Versagens eine abschreckende Wirkung, da eine fehlerhafte Konfiguration der Sicherheitseinstellungen zu einem massiven Datenverlust führen kann.
Eine weitere weit verbreitete Befürchtung sind die versteckten Kosten der Cloud. Die Cloud wird häufig als kostengünstigere Lösung im Vergleich zu On-Premise-IT-Infrastrukturen dargestellt, doch die Realität ist differenzierter. Bei einer Veranstaltung vertrat der Geschäftsführer von Computacenter, Mike Norris, einen klaren Standpunkt: „Die Kostenkontrolle ist die größte Herausforderung [hinsichtlich des Modells] des Cloud Computing, denn die Software ist keine Dienstleistung, sondern eine Geisel.“ Es gibt mehrere Ursachen für Budgetüberschreitungen: höhere Speicherkosten, steigende Betriebs- und Löschkosten, falsch berechnete Transitkosten usw. Parallel dazu haben auch die Energiepreiskrisen den Energieverbrauch eines Rechenzentrums den Benutzern (wieder) vor Augen geführt.
Die letzte Befürchtung rund um die Cloud-Nutzung: die Verletzlichkeit der dort gespeicherten Daten, die ein beliebtes Angriffsziel für Cyberkriminelle sind. Denn um an diese Daten zu gelangen, können Cyberkriminelle verschiedene Elemente der Cloud angreifen, seien es IT-Services, Speicherdienste oder auch Anwendungen. Im Jahr 2021 zeigte eine Studie beispielsweise, dass 90 % der S3-Buckets der Amazon Web Services-Plattform anfällig für Ransomware sind. Im gleichen Jahr wurden Cognite, Facebook oder auch Kaseya allesamt Opfer von Cyberangriffen auf Cloud-Datenbanken. Im Dezember 2022 erlitt auch Rackspace Technology, einer der größten Anbieter für Cloud-Hosting in den USA, einen Cyberangriff, der zu Ausfällen seines gehosteten Microsoft Exchange-Service führte. Diese (von vielen) Beispielen für Angriffe tragen zu dem Gefühl der Unsicherheit bei, das Unternehmen in Bezug auf die Cloud erleben. Denn selbst Cybersicherheitslösungen geraten in der Cloud ins Fadenkreuz von Cyberkriminellen: Die Suchmaschinen sind zum Beispiel voll von Artikeln über die Angriffe auf das Unternehmen LastPass und seine Services zur sicheren Speicherung von Passwörtern. Denn auch wenn die Cybersicherheit kein Hindernis für die Einführung der Cloud darstellt, bleibt sie für 95 % der Unternehmen ein wichtiges Anliegen, wie die Studie eines anderen Herausgebers ergab.
Und die Situation ist sogar noch komplexer, denn Cyberkriminelle greifen sie nicht nur an, sondern nutzen auch Cloud-Umgebungen für einige ihrer Angriffe. In seiner jüngsten Studie Cloud and Threat Reportstellte der Herausgeber Netskope fest, dass sich die Zahl der Cloud-Anwendungen, die Malware verbreiten, bis 2022 verdreifachen würde.
Sollten Unternehmen also aus der Cloud aussteigen?
Die Bedenken rund um die Cloud werden seit einigen Jahren debattiert. Ein öffentlicher Fingerzeig für einige Unternehmen: Unter anderem hat die für Werbung zuständige Abteilung des Fernsehsenders France Télévisions ihre Cloud-Backups seit 2020 auf On-Premise-Infrastrukturen umgestellt. In jüngerer Zeit – Anfang 2023 – kündigte 37signals, Herausgeber der Kollaborationsplattformen Hey und Basecamp, Kosteneinsparungen in Höhe 7 Millionen US-Dollar durch den Rückzug aus der Amazon-Cloud an.
Der Ausstieg aus der Cloud ist allerdings keine leichtfertige Entscheidung, sondern sie erfordert eine vorherige Abschätzung der möglichen Folgen. Denn sowohl die zu stellenden Fragen als auch die benötigten Ressourcen müssen antizipiert werden. Die Migration der Infrastruktur, die Übertragung von Daten und Benutzern, die Anpassung von Sicherheitsregeln, die Begleitung bei Veränderungen – all dies sind Hindernisse, denen Unternehmen auf ihrem Weg in die Cloud begegnen können. Durch die Auslagerung von Ressourcen mittels Cloud Computing haben die Unternehmen sich von den menschlichen und technischen Fähigkeiten abgeschnitten, die On-Premise-Modelle erfordern. Es müsste also sowohl in materielle als auch in personelle Ressourcen investiert werden. Dennoch bedeutet der Ausstieg aus der Cloud nicht zwangsläufig eine ausschließliche Rückkehr zur On-Premise-Infrastruktur. Es gibt Zwischenlösungen, die in der Anmietung von Räumen (Aufstellung eines Schranks oder eines ganzen Raums) in privaten Rechenzentren bestehen oder die den Abschluss eines Outsourcing-Vertrags bei einem Dienstleister umfassen. Beide Lösungen ermöglichen es Unternehmen, auf bestehende Infrastrukturen (Peering, Sicherheit der Räumlichkeiten, elektrische Infrastruktur, Klimatisierung) und Redundanzzertifizierungen (Tier I - II - III - IV) zurückzugreifen, mit dem Ziel, monumentale Investitionen zu vermeiden.
Verbindung von Cloud und Cybersicherheit
Nun bleibt noch ein anderer Blickwinkel: die Verbindung von Cloud und Cybersicherheit. Ein Ansatz, der umso wichtiger ist, da die Sicherheit einer Cloud in Wirklichkeit oft die Sicherheit mehrerer Clouds bedeutet. Die eigenen Sicherheitsbausteine der verschiedenen Marktplätze müssen daher durch die Fähigkeiten von Cybersecurity-Pure-Playern verstärkt oder ersetzt werden (interne Segmentierung, Filterung zwischen den verschiedenen Ressourcen, Intrusion-Detection-Systeme, Tools zur Identitäts- und Zugriffsverwaltung, vertrauenswürdige VPN-Links...). In dieser Multi-Cloud-Optik ist die Auswahl einer Pure-Player-Firewall-Marke, die in jeder Cloud eingesetzt werden soll, in Bezug auf Fachwissen, Sichtbarkeit und Verwaltung sinnvoll, wenn man diese Option mit der Verwaltung der verschiedenen Konfigurationen der nativen Firewalls in jeder Cloud vergleicht.
Und wie treffen Unternehmen die richtige Wahl unter den verschiedenen Cloud-Plattformen? Oder anders gefragt: Wie setzt man die Cloud sicher ein? Der französische Staat versucht, diese Frage mithilfe des Referenzsystems SecNumCloud zu beantworten, das die Qualifizierung von Cloud-Anbietern ermöglicht. „Um ein schützendes digitales Umfeld zu fördern, das auch bei den kritischsten Daten und Anwendungen mit den technologischen Entwicklungen Schritt hält, ist die Identifizierung vertrauenswürdiger Cloud-Services unerlässlich“, erklärte damals Guillaume Poupard, ehemaliger Generaldirektor der ANSSI. Ein Siegel, das die Einhaltung strenger Cybersicherheitsanforderungen, die von der ANSSI festgelegt wurden, zertifiziert und somit das Vertrauen des französischen Staates bescheinigt. Ob im Hinblick auf die Einhaltung der höchsten Sicherheitsstufe für den Datenschutz, eine präzise Servicevereinbarung oder auch eine garantierte Datenlokalisierung: Qualifizierte Clouds sind auf diese Weise besser vor außereuropäischen Gesetzen geschützt.
All dies sollte jedoch nicht darüber hinwegtäuschen, wie wichtig es ist, den Datenaustausch in der Cloud zu sichern. Denn Cyberkriminelle werden vor allem versuchen, eine Schwachstelle in einer Client-Instanz auszunutzen, um anschließend das Gesamtsystem zu infiltrieren, anstatt es frontal anzugreifen. In einer Zeit, in der cloudbasierte Tools für die Zusammenarbeit (wie Google Workspace und Microsoft 365) in Organisationen immer mehr an Bedeutung gewinnen, sind Daten dem Risiko ausgesetzt, abgefangen zu werden, durchzusickern und gestohlen zu werden. Die Verschlüsselung von Dateien ermöglicht somit den sicheren Austausch von vertraulichen Informationen: Sensible Daten werden verschlüsselt und für berechtigte Personen automatisch entschlüsselt. Aber um wirksam zu sein, muss die Maßnahme zum Schutz sensibler Daten mit Benutzerfreundlichkeit kombiniert werden, die von den Plattformen bereitgestellt werden muss. Und noch ein anderes Thema…
Die Befürchtungen bezüglich der Verletzlichkeit von Daten in der Cloud erlauben es uns also, die richtigen Fragen rund um dieses so besondere Umfeld zu stellen. Sie zeigen die Schwachstellen der Cloud und den damit verbundenen Sicherheitsbedarf auf. Die Sicherheit in der Cloud darf nicht als alleinstehendes Thema betrachtet werden: Unternehmen müssen ihre Mitarbeitenden auch für die weitgreifenden Cyberbedrohungen sensibilisieren. Nur so können sie das Sicherheitsniveau nicht nur für ihre Cloud-Assets, sondern auch für ihren gesamten Perimeter erhöhen. Denn in der Cloud spielt sich die Sicherheit auf allen Ebenen ab.